06 – Kontinuierliche Verbesserung

Im Sinne der kontinuierlichen Verbesserung, gilt es sich immer wieder zu hinterfragen und Optimierungspotentiale zu identifizieren und in Maßnahmen zu überführen.
Startseite » ISO 27001 Wissen » 06 – Kontinuierliche Verbesserung
TL;DR

Kontinuierlicher Verbesserungsprozess (KVP)

Der Aufbau eines Managementsystems für Informationssicherheit ist keine einmalige Aufgabe. Das ISMS unterliegt einem kontinuierlichen Verbesserungsprozess in Hinblick auf Eignung, Angemessenheit und Wirksamkeit.

Für eine erfolgreiche Zertifizierung muss dem Auditor genau das nachgewiesen werden. Identifiziere ich Schwachstellen in meiner Informationssicherheit? Unterliegt mein ISMS und damit die Informationssicherheit einer ständigen Verbesserung? Verbesserungspotential wird z. B. in der Risikoanalyse, im ISMS Selfassessment oder in einem „Lessons Learned“ zu Sicherheitsvorfällen identifiziert. Entscheidend ist, dass diese Verbesserungspotenziale in Maßnahmen überführt und nachgehalten werden.

PDCA

Ein konkretes Modell zur Umsetzung der kontinuierlichen Verbesserung wird nicht vorgeschrieben. Am weitesten verbreitet hat sich jedoch der PDCA-Zyklus (auch Deming Cycle genannt). Demnach müssen die geplanten (plan) und umgesetzten (do) Aktivitäten im Managementsystem nach dem Plan-Do-Check-Act-Kreislauf ständig auf ihre Wirksamkeit hin geprüft (check) und gegebenenfalls angepasst (act) werden.

Maßnahmen für einen kontinuierlichen Verbesserungsprozess

Im vorherigen Kapitel haben wir beschrieben, dass es im ISMS auf die kontinuierliche Verbesserung ankommt. Verbesserungspotentiale sollten also in Maßnahmen überführt werden. Nutze dafür nach Möglichkeit bestehende Ticketsysteme oder Aufgabenplanungstools, um Verantwortlichkeiten und Zieldaten zu dokumentieren. Für das Reporting empfiehlt es sich, die Maßnahmen aus der Informationssicherheit mit Flags oder Tags auswertbar und selektierbar zu machen. Als Alternative zu einem Ticketsystem bieten auch die gängigen ISMS Lösungen am Markt die Funktion, um Maßnahmen zu erfassen und zu steuern.

Die ISO 27001 fordert zwar kein konkretes Mindestlevel in Bezug auf Informationssicherheit, dafür aber ganz deutlich, dass das Managementsystem und damit die Sicherheit im Unternehmen einem kontinuierlichen Verbesserungsprozess unterliegen muss. Das Identifizieren von Maßnahmen und das Festlegen von Verantwortlichkeiten und Zieldaten sind der Schlüssel um diese Verbesserung auch im Zertifizierungsaudit nachweisen zu können.

Mögliche Quellen für Maßnahmen

  • Schlussfolgerungen aus KPIs
  • Nachbereitung von Sicherheitsvorfällen
  • Ergebnisse von (internen) Audits
  • Prüfung durch die Leitung (Managementbewertung)
  • Betriebliches Vorschlagswesen (Verbesserungsvorschlag)
  • Risikomanagement
  • Compliance Self-Assessment
  • Gap-Analyse
  • Findings aus Penetrationtests
  • Einschlägige und vertrauensvolle Internetquellen

TL;DR

  1. Der Aufbau eines Managementsystems für Informationssicherheit ist keine einmalige Aufgabe. Es gilt sich kontinuierlich zu verbessern.
  2. Das identifizieren von Maßnahmen und das Festlegen von Verantwortlichkeiten und Zieldaten sind der Schlüssel um diese Verbesserung auch im Zertifizierungsaudit nachweisen zu können.
  3. Ein konkretes Modell zur Umsetzung der kontinuierlichen Verbesserung wird nicht vorgeschrieben. Am weitesten verbreitet hat sich jedoch der PDCA-Zyklus. PDCA steht für Plan-Do-Check-Act.
  4. Typische Quellen für Maßnahmen sind z.B. die Risikoanalyse, ein ISMS Self-Assessment oder das Durchführen von Penetrationtests.